GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/90/01.jpg

Dettaglio news
Le mille facce delle truffe sulla rete - la BUSINESS EMAIL COMPROMISE


lunedì 14 novembre 2022
Avv. Gianni Dell’Aiuto





E’ accaduto ad un funzionario di Confindustria e potrebbe accadere a noi. Una mail all’apparenza normalissima, dispone un normalissimo trasferimento di denaro su un conto corrente; il destinatario riceve ed esegue la disposizione, salvo poi scoprire che era una truffa ed essere licenziato. E’ accaduto anche ad una squadra di serie A, che ha pagato una rata per il trasferimento di un calciatore: peccato che quei soldi siano scomparsi, "intercettati" da un cyber truffatore.

Che cosa è la BEC?


La Business Email Compromise è uno dei sistemi di truffa più comunemente utilizzato non solo per ottenere velocemente pagamenti di somme, ma anche per veicolare malware di ogni tipo - tra cui i temibili ransomware - con cui colpire aziende piccole o grandi, organizzazioni di ogni dimensione e pubbliche amministrazioni.

E' nota anche come "truffa del CEO" e consiste nell'invio di una falsa email proveniente dall'account email di una figura apicale dell'azienda stessa (l'AD e il CEO appunto). Nella mail si richiede al manager/impiegato ignaro di fare un bonifico urgente verso un determinato destinatario: nel mare di mail e comunicazioni che vengono ogni giorno ricevute e con i ritmi frenetici che il lavoro spesso impone, è umanamente normale l’errore del singolo che, per meccanicità dell’azione o distrazione, esegue istruzioni in maniera meccanica, proprio come lo farebbe il computer che sta utilizzando in quel momento.

La Business Email Compromise (BEC) è purtroppo anche uno strumento che porta i maggiori successi per i truffatori della rete: solo negli Stati Uniti nel periodo 2013 – 2016 sono stati registrate oltre 40.000 truffe portate a termine con danni di oltre cinque miliardi di dollari. Possiamo invece solo immaginare quanti siano stati i casi non portati alla luce del sole per la vergogna di dover denunciare una truffa oppure perché comportante la perdita di somme irrisorie. Le BEC sono regolarmente denunciate in oltre cento paesi e non certo nei più poveri del mondo.

E’ stato stimato che ogni giorno almeno 400 aziende sono vittime di attacchi tramite BEC e, nella maggior parte dei casi, sono ovviamente presi di mira addetti dello staff finanziario. A differenza dei classici sistemi di attacco nei quali alla mail viene allegato un malware, con le BEC viene clonato al meglio, se non alla perfezione, il mittente: ciò rende tali email perfettamente credibili non solo per ottenere pagamenti ma anche, ad esempio, per estorcere informazioni riservate o dati sensibili. Vittime preferite sono le aziende che si occupano di import/export, ma anche singoli utenti che acquistano in rete: il trasferimento di denaro viene sempre deviato in maniera tale da garantire l'impunità al truffatore, tenendo conto delle regole bancarie vigenti nel paese in cui arrivano i soldi e scoraggiando le vittime ad intraprendere cause decisamente onerose (magari verso giurisdizioni offshore).

Le modalità della BEC


Le modalità per perpetrare queste truffe sono le più classiche: si va dal phishing al furto delle credenziali, fino a veri e propri attacchi o all'acquisto dei dati presso hacker professionisti. Facile poi copiare carta intestata, firme dei responsabili, stile della corrispondenza e ruoli aziendali, che peraltro spesso sono pubblicati sui siti web aziendali.

Per ottenere questi dati, un attaccante può anche accedere a terminali poco protetti e fare riferimento a precedenti comunicazioni, numeri di ordini, dati trovati sui social; in quanti, oggi, usano il loro WhatsApp personale sul computer con cui lavorano?

Come proteggersi?


Usare cautela può sembrare il classico consiglio inutile, ma resta quello più efficace. Usare password sicure e controllare scrupolosamente i mittenti sono le misure basilari, di primo livello potremmo dire: fare attenzione ai dati inseriti sui social e alle foto profilo è lo step subito successivo (i dati e le foto sottratti dai social potrebbero essere sfruttati per rendere più credibili le email truffaldine). In estrema sintesi è bene ricordare che è sempre il fattore umano che fa la differenza. La macchina si limita ad eseguire pedissequamente ordini e non ha capacità di discernimento.

La tecnologia offre comunque valido aiuto: l'uso della Posta Elettronica certificata (per quanto sia, ad oggi, un sistema solo italiano) anche per le comunicazioni intern e/o l'uso di sistemi di criptazione (almeno per i messaggi che devono uscire dalla rete aziendale) potrebbero essere validi strumenti di protezione.




CONDIVIDI QUESTA PAGINA!